计算机操作系统的安全与配置.ppt

2020 1 3 1 第6章计算机操作系统的安全与配置 本章要点 WindowsXP的安全性Unix系统的安全性Linux系统的安全性 2020 1 3 2 6 1WindowsXP操作系统的安全性 6 1 1WindowsXP的登录机制1 交互式登录 1 本地用户账号 2 域用户账号2 网络登录3 服务登录4 批处理登录 2020 1 3 3 6 1 2WindowsXP的屏幕保护机制 2020 1 3 4 6 1 3WindowsXP的文件保护机制 1 WFP的工作原理WFP把某些文件认为是非常重要的系统文件 在WindowsXP刚装好后 系统会自动备份这些文件到一个专门的叫做dllcache的文件夹 这个dllcache文件夹的位置默认保存在 SYSTEMROOT system32 dllcache目录下 2020 1 3 5 6 1 3WindowsXP的文件保护机制 2 WFP WindowsFileProtection 功能的工作方式WFP功能使用两种机制为系统文件提供保护 第一种机制在后台运行 在WFP收到受保护目录中的文件的目录更改通知后 就会触发这种保护机制 WFP收到这一通知后 就会确定更改了哪个文件 如果此文件是受保护的文件 WFP将在编录文件中查找文件签名 以确定新文件的版本是否正确 WFP功能提供的第二种保护机制是系统文件检查器 Sfc exe 工具 图形界面模式安装结束时 系统文件检查器工具对所有受保护的文件进行扫描 确保使用无人参与安装过程安装的程序没有对它们进行修改 2020 1 3 6 6 1 4利用注册表提高WindowsXP系统的安全 注册表实质上是一个庞大的数据库 用来存储计算机软硬件的各种配置信息 内容主要包含几个方面 软硬件的有关配置和状态信息 应用程序和资源管理器外壳的初始条件 首选项和卸载数据 计算机整个系统的设置和各种许可 文件扩展名与应用程序的关联 硬件的描述 状态和属性 计算机性能记录和底层的系统状态信息以及各类其他数据 2020 1 3 7 6 1 4利用注册表提高WindowsXP系统的安全 1 注册表受到损坏的主要原因 1 用户反复添加或更新驱动程序时 多次操作造成失误 或添加的程序本身存在问题 安装应用程序的过程中注册表中添加了不正确的项 2 驱动程序不兼容 计算机外设的多样性使得一些不熟悉设备性能的用户将不配套的设备安装在一起 尤其是一些用户在更新驱动时一味追求最新 最高端 却忽略了设备的兼容性 当操作系统中安装了不能兼容的驱动程序时 就会出现问题 3 通过 控制面板 的 添加 删除程序 添加程序时 由于应用程序自身的反安装特性 或采用第三方软件卸载自己无法卸载的系统自带程序时 都可能会对注册表造成损坏 另外 删除程序 辅助文件 数据文件和反安装程序也可能会误删注册表中的参数项 2020 1 3 8 6 1 4利用注册表提高WindowsXP系统的安全 1 注册表受到损坏的主要原因 4 当用户经常安装和删除字体时 可能会产生字体错误 可能造成文件内容根本无法显示 5 硬件设备改变或者硬件失败 如计算机受到病毒侵害 自身有问题或用电故障等 6 用户手动改变注册表导致注册表受损也是一个重要原因 由于注册表的复杂性 用户在改动过程中难免出错 如果简单地将其它计算机上的注册表复制过来 可能会造成非常严重的后果 2020 1 3 9 2 WindowsXP系统注册表的结构 6 1 4利用注册表提高WindowsXP系统的安全 2020 1 3 10 6 1 4利用注册表提高WindowsXP系统的安全 2 WindowsXP系统注册表的结构WindowsXP注册表共有5个根键 HKEY CLASSES ROOT此处存储的信息可以确保当使用Windows资源管理器打开文件时 将使用正确的应用程序打开对应的文件类型 HKEY CURRENT USER包含当前登录用户的配置信息的根目录 用户文件夹 屏幕颜色和 控制面板 设置存储在此处 该信息被称为用户配置文件 在用户登录WindowsXP时 其信息从HKEY USERS中相应的项拷贝到HKEY CURRENT USER中 2020 1 3 11 6 1 4利用注册表提高WindowsXP系统的安全 2 WindowsXP系统注册表的结构WindowsXP注册表共有5个根键 HKEY LOCAL MACHINE包含针对该计算机 对于任何用户 的配置信息 HKEY USERS包含计算机上所有用户的配置文件的根目录 HKEY CURRENT CONFIG管理当前用户的系统配置 在这个根键中保存着定义当前用户桌面配置 如显示器等等 的数据 该用户使用过的文档列表 MRU 应用程序配置和其他有关当用户的WindowsXP中文版的安装的信息 2020 1 3 12 6 1 4利用注册表提高WindowsXP系统的安全 3 通过修改WindowsXP注册表提高系统的安全性 1 修改注册表的访问权限 2 让文件彻底隐藏 3 禁止使用控制面板请参照教材P105介绍进行操作 2020 1 3 13 启动策略管理的命令 Gpedit msc 6 1 5本地安全的账户策略 2020 1 3 14 帐户策略 密码策略Kerberos策略 针对Server系列 帐户锁定策略 2020 1 3 15 密码复杂性要求 如果启用此策略 密码必须符合下列最低要求 不能包含用户的帐户名 不能包含用户姓名中超过两个连续字符的部分至少有六个字符长包含以下四类字符中的三类字符 英文大写字母 A到Z 英文小写字母 a到z 10个基本数字 0到9 非字母字符 例如 2020 1 3 16 本地策略 审核策略 确定是否将安全事件记录到计算机上的安全日志中 同时也确定是否记录登录成功或登录失败 或二者都记录 安全 日志是事件查看器的一部分 用户权利指派 确定哪些用户或组具有登录计算机的权利或特权 安全选项 启用或禁用计算机的安全设置 例如数据的数字信号 Administrator和Guest的帐户名 软盘驱动器和光盘的访问 驱动程序的安装以及登录提示 2020 1 3 17 审核策略设置 2020 1 3 18 用户权利指派设置 优先级高于 在本地登录 2020 1 3 19 安全选项设置 2020 1 3 20 6 1 6Windows服务 Win32服务程序由3部分组成 服务应用程序 服务控制程序和服务控制管理器服务应用程序是服务程序的主体程序 是一个或者多个服务的可执行代码服务的启动方式有三种 自动 是指当计算机启动或者需要的时候就开启 手动 是可以在命令提示符中通过 netstart 命令打开和 netstop 命令关闭的 已禁止 是指在改变启动方式前 不允许启动的服务启动管理工具的命令 Services msc 2020 1 3 21 Windows服务 这些服务程序很多是互相依存的 所以不能随便停止某项服务 否则很可能造成系统的非正常情况出现 但是有的服务对我们来说的确没有什么作用 而且还占据着系统资源 正常工作中用不到的程序 完全可以关闭 从而达到节省资源的目的 可以改变服务的启动顺序 进一步优化系统 提高系统运行效率和安全性能 2020 1 3 22 禁用不必要的服务 很多服务是用户根本不需要的选择 开始 运行 键入 services msc 并回车 即可打开 服务 管理程序 也可以选择 控制面板 管理工具 服务 进入该界面 即可打开已经安装在系统中的服务列表 不同的硬件配置或者不同的Windows版本中的服务项目是有所区别的 选择 查看 详细信息 即可在 描述 列表中看到每一项服务的具体内容和功能 2020 1 3 23 Windows服务解析配置 1 Alert 警报器 建议 已禁止2 ApplicationLayerGatewayService 建议 已禁止3 ApplicationManagement 应用程序管理 建议 手动4 AutomaticUpdates 建议 已禁止5 BackgroundIntelligentTransferService 建议 已禁止6 ClipBook 剪贴簿 建议 已禁止7 COM EventSystem COM 事件系统 建议 手动8 COM SystemApplication 建议 手动9 ComputerBrowser 计算机浏览器 建议 已禁止10 CryptographicServices 建议 手动11 DHCPClient DHCP客户端 建议 手动12 DistributedLinkTrackingClient 分布式连结追踪客户端 建议 已禁止 2020 1 3 24 Windows服务解析配置 13 DistributedTransactionCoordinator 分布式交换协调器 建议 已禁止14 DNSClient DNS客户端 建议 已禁止15 ErrorReportingService 建议 已禁止16 EventLog 事件记录文件 建议 自动17 FastUserSwitchingCompatibility 建议 手动18 HelpandSupport 建议 已禁止 19 HumanInterfaceDeviceAccess 建议 手动20 IMAPICD BurningCOMService 建议 已禁止21 IndexingService 索引服务 建议 已禁止22 InternetConnectionFirewall ICF InternetConnectionSharing ICS 建议 已禁止23 IPSECServices IP安全性服务 建议 手动24 LogicalDiskManager 逻辑磁盘管理员 建议 自动 2020 1 3 25 Windows服务解析配置 25 LogicalDiskManagerAdministrativeService 逻辑磁盘管理员系统管理服务 建议 手动26 Messenger 信使服务 建议 已禁止27 MSSoftwareShadowCopyProvider 建议 已禁止28 SmartCard 建议 已禁止29 SmartCardHelper 智能卡协助程序 建议 已禁止30 SSDPDiscoveryService 建议 已禁止31 SystemEventNotification 系统事件通知 建议 自动32 SystemRestoreService 建议 已禁止33 TaskScheduler 建议 手动34 TCP IPNetBIOSHelper TCP IPNetBIOS协助程序 建议 已禁止 2020 1 3 26 Windows服务解析配置 35 Telephony 电话语音 建议 手动36 Telnet 建议 已禁止37 TerminalServices 终端服务 建议 已禁止38 Themes 建议 自动39 UninterruptiblePowerSupply 不断电供电系统 建议 已禁止40 UniversalPlugandPlayDeviceHost 建议 自动41 VolumeShadowCopy 建议 已禁止 42 WebClient 建议 已禁止 43 WindowsAudio 建议 自动 44 WindowsImageAcquisition WIA Windows影像取得程序 建议 已禁止45 WindowsInstaller Windows安装程序 建议 自动46 WindowsManagementInstrumentation WMI 建议 自动 2020 1 3 27 Windows服务解析配置 47 WindowsManagementInstrumentationDriverExtensions WindowsManagementInstrumentation驱动程序延伸 建议 手动48 WindowsTime Windows时间设定 建议 已禁止49 WirelessZeroConfiguration 建议 已禁止50 WMIPerformanceAdapter 建议 已禁止51 Workstation 工作站 建议 自动 2020 1 3 28 6 1 7XP操作系统进程解析 2020 1 3 29 进程的概念 进程是程序在计算机上的一次执行活动 运行一个程序时 就启动了一个进程 相对而言 程序是一组代码 是静态的 进程是代码的执行行为 是活的 在Windows下 进程又被细化为线程 也就是一个进程下有多个能独立运行的更小的单位 多线程的好处 产生多响应效果可以充分使用多处理器 2020 1 3 30 Windows基本进程解析 1 WinlogonWinlogon是一个登录 退出进程 winlogon在用户按下CTRL ALT DEL时激活 并显示安全对话框 该进程提供了登录所需的类型控制和输入口令所需的对话框 当你输入用户名和口令时 Winlogon将其发送给一个叫做LSASS的子进程 如果你执行对服务器或工作站的本地登录 LSASS进程将在安全数据库 亦即SAM 中查对有关用户名和口令 Winlogon有两个子进程 即服务控制器和LSASS 2 Explorer进程在Windows系列的操作系统中 运行时都会启动一个名为Explorer exe的进程 这个进程主要负责显示系统桌面上的图标以及任务栏 2020 1 3 31 Windows基本进程解析 3 csrss exe进程这个进程是用户模式Win32子系统的一部分 CSRSS代表客户 服务器运行子系统而且是一个基本的子系统必须一直运行 CSRSS负责控制Windows图形相关子系统 创建或者删除线程和一些16位的虚拟MS DOS环境 4 SystemIdle这个进程不可以从任务管理器中关掉 是作为单线程运行在每个处理器上 并在系统不处理其他线程的时候分派处理器的时间 所以 在任务管理器中 看到的 SystemIdleProcess 的CPU资源占用恰恰是CPU资源空闲时间 2020 1 3 32 Windows基本进程解析 5 smss exe这个进程是不可以从任务管理器中关掉的 是一个会话管理子系统 负责启动用户会话 这个进程是通过系统进程初始化 并且对许多活动的 包括正在运行的Winlogon Win32 Csrss exe 线程和设定的系统变量作出反映 在它启动这些进程后 它等待Winlogon或者Csrss结束 如果这些过程是正常的 系统就关掉了 如果发生了什么不可预料的事情 smss exe就会让系统停止响应 就是挂起 6 lsass exe这个进程是不可以从任务管理器中关掉的 管理IP安全策略以及启动ISAKMP Oakley IKE 和IP安全驱动程序 这是一个本地的安全授权服务 它会为使用winlogon服务的授权用户生成一个进程 这个进程是通过使用授权的包 例如默认的msgina dll来执行 如果授权是成功的 lsass就会产生用户的进入令牌 令牌被用于启动初始的shell 其他由用户初始化的进程也会继承这个令牌 系统服务 2020 1 3 33 Windows基本进程解析 7 services exe大多数的系统核心模式进程是作为系统进程在运行 8 spoolsv exe缓冲 spooler 服务是管理缓冲池中的打印和传真作业 将文件加载到内存中以便迟后打印 系统服务 2020 1 3 34 svchost exe进程剖析 svchost exe是从动态链接库 DLL 中运行的服务的通用主机进程名称 svchost exe是WindowsNT核心系统的最重要的进程之一 但它本身只作为服务宿主 提供条件让其他服务在这里被启动 而它自己却不能提供任何服务 Windows2000一般有2个svchost进程 一个是RPCSS RemoteProcedureCall 服务进程 另外一个则是由很多服务共享的一个svchost exe 而在WindowsXP中 则一般有4个以上的svchost exe服务进程 Windows2003Server中则更多 可以看出把更多的系统内置服务以共享进程方式由svchost启动是微软的一个趋势 2020 1 3 35 svchost exe进程剖析 svchost exe文件定位在系统的 systemroot system32文件夹下在启动的时候 svchost exe检查注册表中的位置来构建需要加载的服务列表 这就会使多个svchost exe在同一时间运行 一般地 通过在任务管理器 我们可以看到Windows系统中存在多个 svchost 进程 这些svchost进程提供多种系统服务 如 rpcss服务 remoteprocedurecall dmserver服务 logicaldiskmanager dhcp服务 dhcpclient 等 2020 1 3 36 几点说明 相对而言 程序是一组代码 是静态的 进程是代码的执行行为 是活的系统的大部分服务是以动态链接库 dll 形式实现的 比如通过SvcHost EXE启动的大量系统服务驱动程序在某种形式上也是服务 但驱动程序在Windows中进行了验证 如WindowsHardwareQualityLab WHQL 微软的一种认证 2020 1 3 37 6 4Unix系统的安全性Unix操作系统简介Unix操作系统是目前网络系统中主要的服务器操作系统Unix操作系统是于1969年由KenThomps